看懂中華電信憑證遭 Google 撤信 6 項缺失：遇到 Chrome 不信任畫面怎麼辦？

中華電信憑證遭 Google 宣布將撤除預設信任已成定局。根據 Google Chrome 根憑證計畫公告與 Mozilla 公開記錄，包含 GTLSCA、ePKI、HiPKI 在內的根憑證，將自 2025 年 8 月 1 日起不再受到 Chrome 信任。

本文主要內容

Extended Key Usage 欄位設定錯誤 SubjectDirectoryAttributes 憑證延遲撤銷 自我評估報告延遲一年未繳交 憑證透明度提交不完全 缺乏可量化之改善成效 事件通報延遲與處理不透明 對一般民眾的實際影響

綜合 Mozilla Bugzilla、Common CA Database（CCADB）與 Google Security Blog 等公開資料，目前已確認至少六項明確的合規問題，涵蓋憑證格式錯誤、撤銷流程瑕疵、通報延遲、資訊透明度不足，以及缺乏持續改善等情形，影響超過 1 萬 9000 張憑證。

Extended Key Usage 欄位設定錯誤

GTLSCA 自 2023 年 9 月起所簽發的憑證，錯誤地將 Extended Key Usage（EKU）欄位標示為 critical，違反 CA/Browser Forum Baseline Requirements v2.0.0 的明文規定。根據標準，EKU 欄位應標示為 non-critical。此錯誤持續超過半年，影響憑證數量達 6,450 張。直到 2024 年 3 月才停止錯誤設定，並於 5 月完成部分憑證撤銷作業。

換句話說，這就像是在身分證上蓋錯章，原本只是註明「這個人可以做某些事」，卻誤標成「沒有這個章就不合法」，導致系統無法正確辨識，甚至可能讓網站無法正常開啟。

資料來源：Mozilla Bugzilla #1892419

SubjectDirectoryAttributes 憑證延遲撤銷

2024 年 5 月至 6 月期間，中華電信簽發了 12,911 張包含 SubjectDirectoryAttributes（OID 2.5.29.9）欄位的憑證。事後經確認，這些憑證不符合相關規範，但未能在 CA/Browser Forum 所規定的 5 天時限內完成撤銷。中華電信表示，撤銷作業受限於用戶配合程度及公部門作業流程，導致無法遵循 Baseline Requirements 第 4.9.1.1 條所訂的撤銷時效要求。

換句話說，這就像官方一次發出一大堆有誤的證件，照理說應該在五天內全面回收，但中華電信表示「用戶太多不好收」，結果拖了很久才慢慢撤回，導致這些有問題的憑證在外部系統中持續流通。

資料來源：Mozilla Bugzilla #1903066

自我評估報告延遲一年未繳交

依照 CCADB 規定，憑證機構每年須提交合規性自評報告。然而，中華電信未於 2023 年度完成提交，儘管 Mozilla Root CA Program 多次提醒，直到 2025 年 1 月才補交 2024 年的報告，並詢問是否可以使用新版格式補交 2023 年的資料。Mozilla 官方認為，這顯示中華電信缺乏完善的內部交接與流程控管，明顯不符合公開信任憑證機構應具備的治理標準。

換句話說，就像每年都要交一份自我檢查表，中華電信不但連兩年沒交，還反問「可不可以用今年的格式補去年的」，整體看起來就是忘記了、也沒在追蹤，讓人覺得相當不負責任。

資料來源：Mozilla Incident Dashboard

憑證透明度提交不完全

自 2022 年起，Google Chrome 根憑證政策明確規定，所有公開 TLS 憑證必須提交至至少兩個 Certificate Transparency（CT）日誌。然而，中華電信未能完全遵循此要求，部分憑證未送交 CT 日誌，導致信任鏈驗證不完整，影響瀏覽器對網站的認證結果。

換句話說，這就像蓋印章前要先登記在官方資料庫，中華電信有些憑證沒照規定登記，瀏覽器查不到紀錄，就會跳出警告，提醒使用者該網站可能有安全問題。

資料來源：Google Security Blog 2025 年 5 月公告

缺乏可量化之改善成效

根據 Google 的評估，中華電信在上述多起違規事件中，未提出具體且可驗證的改進計畫，也未定期回報實際執行進度。Google 在官方聲明中表示，過去一年中華電信在處理公開事件的表現，無法達到 Chrome Root Store 對憑證機構（CA）所設定的基本信任標準。

換句話說，出問題後不但沒拿出清楚的改善計畫，也沒說明到底做了哪些改進，Google 認為這家公司根本沒打算認真處理，乾脆直接取消信任資格。

資料來源：Google Security Blog

事件通報延遲與處理不透明

在 EKU 設定錯誤與延遲撤銷相關事件中，中華電信於 Mozilla Bugzilla 上的通報與回應進度明顯落後，經常需仰賴社群成員反覆催促才更新狀態，顯示其缺乏有效的應變機制與資訊透明流程。Mozilla 管理人員也在公開紀錄中批評，中華電信的通報表現未達預期標準。

換句話說，別人發現問題要你出面說明，你拖了老半天才回，內容又說得不清不楚，還要社群一催再催才肯處理，整體做法讓人看了很不爽。

資料來源：Bugzilla #1892419 留言紀錄

對一般民眾的實際影響

自 2025 年 8 月起，若民眾使用 Chrome 瀏覽器造訪仍使用中華電信憑證的網站（例如政府機關、學校或公營機構），可能會出現「您的連線不是私人連線」的紅色警告畫面，甚至無法正常進入網站。這可能不是電腦故障，也不是網站遭駭，而是因為該網站所使用的憑證是由 Google 已不再信任的憑證機構簽發。

遇到這種情況時，可以採取以下做法：

• 確認網站來源無誤：如果你是直接輸入網址、或透過書籤、熟悉的政府入口連結前往，且該網站平常就是你使用的官方網站，可以點選「進階」後的「繼續前往」，網站仍可正常使用。這樣的情況下，風險來自 Chrome 的預防性封鎖，不等於實際被駭。
• 避免從可疑連結前往網站：若是從 Email、社群、廣告或陌生連結點入，建議不要繼續前往，避免誤入仿冒網站而不自知。
• 改用其他瀏覽器：如需穩定使用，也可改用 Firefox 或 Safari 等仍接受中華電信憑證的瀏覽器，網站將不會顯示警告畫面。

為促使中華電信及相關政府機關正視這場憑證信任危機，加速錯誤修正與完成憑證替換，民眾不妨主動表達關切。建議可透過數位發展部民意信箱、國家通訊傳播委員會（NCC）意見反映平台，或聯繫所屬選區的立法委員進行陳情，要求相關單位：

• 清楚說明中華電信的違規事實與處理進度
• 提出具體時程、改善計畫與替代憑證轉換方案
• 對受影響的政府網站啟動全面盤點與補救行動

當民眾集體表達訴求，能促使主管機關正視問題嚴重性，避免民眾在使用政府網站時持續遇到錯誤畫面或安全警告，進而強化政府數位服務的公信力與可用性。